Немного про социальную инженерию. От Джейсона Стрита

Немного про социальную инженерию. От Джейсона Стрита

Пример развитого рынка безопасности, есть конкретные люди, которые занимаются профессионально социальной инженерией. Причем глобально.

Мир глазами социального инженера
Информация является самым ценным товаром в современном мире. И Джейсон Стрит знает, как ее раздобыть. Во время наших бесед я узнал, как он смог проникнуть в самые безопасные организации в США, Малайзии, Иордании, Германии, Ямайке, Франции и Ливане.

"Я проникаю в банки в Бейруте (Ливан). На мне кожаная куртка DEF CON. Я не говорю на арабском или французском, и, честно говоря, не очень хорошо вписываюсь в образ этого города", — сказал он во время одной из встреч.

Как вы понимаете, это не останавливает Джейсона. Вскоре он уже сидит в офисном кресле, уговорив кассира подключить свой USB накопитель Hak5 Rubber Ducky к компьютерной системе. Кроме того, в конце этого вторжения, он уже имеет в своем распоряжении логин, пароль и смарт-карту помощника менеджера банка.

"Вооруженный этой информацией, я иду в другое отделение банка. Прокладываю себе путь, отсоединяю компьютер и забираю его с собой. Что я делаю дальше? Иду в третье отделение и подключаюсь к внутренней сети", — вспоминает Стрит.

Владельцы банка были шокированы столь низким уровнем безопасности. Они поняли, что каждый человек, получивший подобный доступ, может совершить любые махинации.

На этом этапе Стрит пытается изложить суть как можно проще если вы желаете усилить информационную безопасность, прежде всего, обеспечьте надлежащую физическую защиту. Чтобы защитить данные, позаботьтесь о безопасности жесткого диска, на котором они сохранены.

"Я не являюсь лучшим кодировщиком или программистом. И никогда не буду таковым. Но мне это и не нужно, если у меня есть отвертка и я могу забрать жесткий диск. Мне не нужно преодолевать информационную защиту, если я могу легко обойти администратора", — говорит он.

Важность физической безопасности

Стрит говорит, что еще ни разу не потерпел неудачи, добиваясь доступа к нужным данным. Но ему нравится бросать самому себе вызов, и иногда его подход внешне выглядит довольно смешным.

Например, в прошлом году он сумел проникнуть в инфраструктуру фешенебельной гостиницы во французской Ривьере, ходя по отелю босиком и будучи одетым в шорты с изображением черепашек Ниндзя.

Ключевой момент в поведении социального инженера самоуверенность, и Джейсон Стрит знает, как ее использовать. Однажды, во время работы он наткнулся на незащищенный вход в зону, предназначенную только для персонала. И уже через 30 минут находился в офисе. Работники не ожидали, что кто-то может зайти сюда в нерабочее время, а потому защита просто отсутствовала: ключи на столе, свободный доступ к компьютерам. Все, игра закончена!

"У меня никогда не возникало проблем с охраной, даже в правительственных или финансовых учреждениях. В действительности, однажды ночной охранник помог мне вынести сервер и погрузить в мою машину", — весело вспоминает Стрит.

Как предотвратить социально-инженерную атаку

"Я не пытаюсь уничтожить организацию. Я обеспечиваю социальную осведомленность. Моя работа в том, чтобы обучить и помочь людям понять", — объясняет Стрит.

По сути, Стриту искренне хочется быть пойманным. На последней стадии вторжения он специально выполняет очевидно подозрительные действия, чтобы быть разоблаченным.

"Я всегда прихожу с каким-либо предупреждением. Например, когда я проник в здание с высоким уровнем безопасности в Нью-Йорке, на мне была футболка с надписью "Компьютерный работник вашей компании", — вспоминает Джейсон Стрит.

После вторжения, он всегда возвращается обратно и объясняет сотрудникам, что произошло и почему. Эта часть его работы заключается в том, чтобы повысить осведомленность в сфере информационной безопасности и сделать это на эффективном практическом примере.

"Независимо от исхода моего вторжения, я никогда не встречался с глупыми пользователями", — замечает Стрит. "Я видел недостаточно обученных или осведомленных пользователей. А потому просвещение относительно важности безопасности должно стать неотъемлемой частью подготовки персонала".

По мнению Джейсона Стрита большинство социально-инженерных атак возможно предотвратить. Он предлагает следующие подсказки:

1. Если вы чувствуете, что что-то идет не так, прислушайтесь к внутреннему голосу и действуйте в соответствии с ним;

2. В каждой организации должны быть люди, к которым можно обратиться в случае, если сотрудник сомневается. Каждый работник должен знать, что если он заметил подозрительную личность или получил странное электронное письмо, то есть человек, к которому он может обратиться со своими опасениями. Джейсон Стрит предупреждает: "Не подходите к подозрительному человеку, не открывайте письмо, поставьте в известность службу безопасности".

Такой совет может показаться слишком простым, но приключения Стрита по всему миру доказывают, что даже крупнейшие международные организации не применяют элементарных мер безопасности и не учат этому свой персонал. До тех пор, пока не будут приняты надлежащие меры, человеческий фактор так и останется слабым звеном в цепи информационной безопасности.

The life of a social engineer: Hacking the human

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации